中華人民共和國國務(wù)院令

第745號

《關(guān)鍵信息基礎設施安全保護條例》已經(jīng)2021年4月27日國務(wù)院第133次常務(wù)會(huì )議通過(guò)，現予公布，自2021年9月1日起施行。

總理　　李克強

2021年7月30日

關(guān)鍵信息基礎設施安全保護條例

第一章　總　　則

第一條　為了保障關(guān)鍵信息基礎設施安全，維護網(wǎng)絡(luò )安全，根據《中華人民共和國網(wǎng)絡(luò )安全法》，制定本條例。

第二條　本條例所稱(chēng)關(guān)鍵信息基礎設施，是指公共通信和信息服務(wù)、能源、交通、水利、金融、公共服務(wù)、電子政務(wù)、國防科技工業(yè)等重要行業(yè)和領(lǐng)域的，以及其他一旦遭到破壞、喪失功能或者數據泄露，可能?chē)乐匚：野踩?、國計民生、公共利益的重要網(wǎng)絡(luò )設施、信息系統等。

第三條　在國家網(wǎng)信部門(mén)統籌協(xié)調下，國務(wù)院公安部門(mén)負責指導監督關(guān)鍵信息基礎設施安全保護工作。國務(wù)院電信主管部門(mén)和其他有關(guān)部門(mén)依照本條例和有關(guān)法律、行政法規的規定，在各自職責范圍內負責關(guān)鍵信息基礎設施安全保護和監督管理工作。

省級人民政府有關(guān)部門(mén)依據各自職責對關(guān)鍵信息基礎設施實(shí)施安全保護和監督管理。

第四條　關(guān)鍵信息基礎設施安全保護堅持綜合協(xié)調、分工負責、依法保護，強化和落實(shí)關(guān)鍵信息基礎設施運營(yíng)者（以下簡(jiǎn)稱(chēng)運營(yíng)者）主體責任，充分發(fā)揮政府及社會(huì )各方面的作用，共同保護關(guān)鍵信息基礎設施安全。

第五條　國家對關(guān)鍵信息基礎設施實(shí)行重點(diǎn)保護，采取措施，監測、防御、處置來(lái)源于中華人民共和國境內外的網(wǎng)絡(luò )安全風(fēng)險和威脅，保護關(guān)鍵信息基礎設施免受攻擊、侵入、干擾和破壞，依法懲治危害關(guān)鍵信息基礎設施安全的違法犯罪活動(dòng)。

任何個(gè)人和組織不得實(shí)施非法侵入、干擾、破壞關(guān)鍵信息基礎設施的活動(dòng)，不得危害關(guān)鍵信息基礎設施安全。

第六條　運營(yíng)者依照本條例和有關(guān)法律、行政法規的規定以及國家標準的強制性要求，在網(wǎng)絡(luò )安全等級保護的基礎上，采取技術(shù)保護措施和其他必要措施，應對網(wǎng)絡(luò )安全事件，防范網(wǎng)絡(luò )攻擊和違法犯罪活動(dòng)，保障關(guān)鍵信息基礎設施安全穩定運行，維護數據的完整性、保密性和可用性。

第七條　對在關(guān)鍵信息基礎設施安全保護工作中取得顯著(zhù)成績(jì)或者作出突出貢獻的單位和個(gè)人，按照國家有關(guān)規定給予表彰。

第二章　關(guān)鍵信息基礎設施認定

第八條　本條例第二條涉及的重要行業(yè)和領(lǐng)域的主管部門(mén)、監督管理部門(mén)是負責關(guān)鍵信息基礎設施安全保護工作的部門(mén)（以下簡(jiǎn)稱(chēng)保護工作部門(mén)）。

第九條　保護工作部門(mén)結合本行業(yè)、本領(lǐng)域實(shí)際，制定關(guān)鍵信息基礎設施認定規則，并報國務(wù)院公安部門(mén)備案。

制定認定規則應當主要考慮下列因素：

（一）網(wǎng)絡(luò )設施、信息系統等對于本行業(yè)、本領(lǐng)域關(guān)鍵核心業(yè)務(wù)的重要程度；

（二）網(wǎng)絡(luò )設施、信息系統等一旦遭到破壞、喪失功能或者數據泄露可能帶來(lái)的危害程度；

（三）對其他行業(yè)和領(lǐng)域的關(guān)聯(lián)性影響。

第十條　保護工作部門(mén)根據認定規則負責組織認定本行業(yè)、本領(lǐng)域的關(guān)鍵信息基礎設施，及時(shí)將認定結果通知運營(yíng)者，并通報國務(wù)院公安部門(mén)。

第十一條　關(guān)鍵信息基礎設施發(fā)生較大變化，可能影響其認定結果的，運營(yíng)者應當及時(shí)將相關(guān)情況報告保護工作部門(mén)。保護工作部門(mén)自收到報告之日起3個(gè)月內完成重新認定，將認定結果通知運營(yíng)者，并通報國務(wù)院公安部門(mén)。

第三章　運營(yíng)者責任義務(wù)

第十二條　安全保護措施應當與關(guān)鍵信息基礎設施同步規劃、同步建設、同步使用。

第十三條　運營(yíng)者應當建立健全網(wǎng)絡(luò )安全保護制度和責任制，保障人力、財力、物力投入。運營(yíng)者的主要負責人對關(guān)鍵信息基礎設施安全保護負總責，領(lǐng)導關(guān)鍵信息基礎設施安全保護和重大網(wǎng)絡(luò )安全事件處置工作，組織研究解決重大網(wǎng)絡(luò )安全問(wèn)題。

第十四條　運營(yíng)者應當設置專(zhuān)門(mén)安全管理機構，并對專(zhuān)門(mén)安全管理機構負責人和關(guān)鍵崗位人員進(jìn)行安全背景審查。審查時(shí)，公安機關(guān)、國家安全機關(guān)應當予以協(xié)助。

第十五條　專(zhuān)門(mén)安全管理機構具體負責本單位的關(guān)鍵信息基礎設施安全保護工作，履行下列職責：

（一）建立健全網(wǎng)絡(luò )安全管理、評價(jià)考核制度，擬訂關(guān)鍵信息基礎設施安全保護計劃；

（二）組織推動(dòng)網(wǎng)絡(luò )安全防護能力建設，開(kāi)展網(wǎng)絡(luò )安全監測、檢測和風(fēng)險評估；

（三）按照國家及行業(yè)網(wǎng)絡(luò )安全事件應急預案，制定本單位應急預案，定期開(kāi)展應急演練，處置網(wǎng)絡(luò )安全事件；

（四）認定網(wǎng)絡(luò )安全關(guān)鍵崗位，組織開(kāi)展網(wǎng)絡(luò )安全工作考核，提出獎勵和懲處建議；

（五）組織網(wǎng)絡(luò )安全教育、培訓；

（六）履行個(gè)人信息和數據安全保護責任，建立健全個(gè)人信息和數據安全保護制度；

（七）對關(guān)鍵信息基礎設施設計、建設、運行、維護等服務(wù)實(shí)施安全管理；

（八）按照規定報告網(wǎng)絡(luò )安全事件和重要事項。

第十六條　運營(yíng)者應當保障專(zhuān)門(mén)安全管理機構的運行經(jīng)費、配備相應的人員，開(kāi)展與網(wǎng)絡(luò )安全和信息化有關(guān)的決策應當有專(zhuān)門(mén)安全管理機構人員參與。

第十七條　運營(yíng)者應當自行或者委托網(wǎng)絡(luò )安全服務(wù)機構對關(guān)鍵信息基礎設施每年至少進(jìn)行一次網(wǎng)絡(luò )安全檢測和風(fēng)險評估，對發(fā)現的安全問(wèn)題及時(shí)整改，并按照保護工作部門(mén)要求報送情況。

第十八條　關(guān)鍵信息基礎設施發(fā)生重大網(wǎng)絡(luò )安全事件或者發(fā)現重大網(wǎng)絡(luò )安全威脅時(shí)，運營(yíng)者應當按照有關(guān)規定向保護工作部門(mén)、公安機關(guān)報告。

發(fā)生關(guān)鍵信息基礎設施整體中斷運行或者主要功能故障、國家基礎信息以及其他重要數據泄露、較大規模個(gè)人信息泄露、造成較大經(jīng)濟損失、違法信息較大范圍傳播等特別重大網(wǎng)絡(luò )安全事件或者發(fā)現特別重大網(wǎng)絡(luò )安全威脅時(shí)，保護工作部門(mén)應當在收到報告后，及時(shí)向國家網(wǎng)信部門(mén)、國務(wù)院公安部門(mén)報告。

第十九條　運營(yíng)者應當優(yōu)先采購安全可信的網(wǎng)絡(luò )產(chǎn)品和服務(wù)；采購網(wǎng)絡(luò )產(chǎn)品和服務(wù)可能影響國家安全的，應當按照國家網(wǎng)絡(luò )安全規定通過(guò)安全審查。

第二十條　運營(yíng)者采購網(wǎng)絡(luò )產(chǎn)品和服務(wù)，應當按照國家有關(guān)規定與網(wǎng)絡(luò )產(chǎn)品和服務(wù)提供者簽訂安全保密協(xié)議，明確提供者的技術(shù)支持和安全保密義務(wù)與責任，并對義務(wù)與責任履行情況進(jìn)行監督。

第二十一條　運營(yíng)者發(fā)生合并、分立、解散等情況，應當及時(shí)報告保護工作部門(mén)，并按照保護工作部門(mén)的要求對關(guān)鍵信息基礎設施進(jìn)行處置，確保安全。

第四章　保障和促進(jìn)

第二十二條　保護工作部門(mén)應當制定本行業(yè)、本領(lǐng)域關(guān)鍵信息基礎設施安全規劃，明確保護目標、基本要求、工作任務(wù)、具體措施。

第二十三條　國家網(wǎng)信部門(mén)統籌協(xié)調有關(guān)部門(mén)建立網(wǎng)絡(luò )安全信息共享機制，及時(shí)匯總、研判、共享、發(fā)布網(wǎng)絡(luò )安全威脅、漏洞、事件等信息，促進(jìn)有關(guān)部門(mén)、保護工作部門(mén)、運營(yíng)者以及網(wǎng)絡(luò )安全服務(wù)機構等之間的網(wǎng)絡(luò )安全信息共享。

第二十四條　保護工作部門(mén)應當建立健全本行業(yè)、本領(lǐng)域的關(guān)鍵信息基礎設施網(wǎng)絡(luò )安全監測預警制度，及時(shí)掌握本行業(yè)、本領(lǐng)域關(guān)鍵信息基礎設施運行狀況、安全態(tài)勢，預警通報網(wǎng)絡(luò )安全威脅和隱患，指導做好安全防范工作。

第二十五條　保護工作部門(mén)應當按照國家網(wǎng)絡(luò )安全事件應急預案的要求，建立健全本行業(yè)、本領(lǐng)域的網(wǎng)絡(luò )安全事件應急預案，定期組織應急演練；指導運營(yíng)者做好網(wǎng)絡(luò )安全事件應對處置，并根據需要組織提供技術(shù)支持與協(xié)助。

第二十六條　保護工作部門(mén)應當定期組織開(kāi)展本行業(yè)、本領(lǐng)域關(guān)鍵信息基礎設施網(wǎng)絡(luò )安全檢查檢測，指導監督運營(yíng)者及時(shí)整改安全隱患、完善安全措施。

第二十七條　國家網(wǎng)信部門(mén)統籌協(xié)調國務(wù)院公安部門(mén)、保護工作部門(mén)對關(guān)鍵信息基礎設施進(jìn)行網(wǎng)絡(luò )安全檢查檢測，提出改進(jìn)措施。

有關(guān)部門(mén)在開(kāi)展關(guān)鍵信息基礎設施網(wǎng)絡(luò )安全檢查時(shí)，應當加強協(xié)同配合、信息溝通，避免不必要的檢查和交叉重復檢查。檢查工作不得收取費用，不得要求被檢查單位購買(mǎi)指定品牌或者指定生產(chǎn)、銷(xiāo)售單位的產(chǎn)品和服務(wù)。

第二十八條　運營(yíng)者對保護工作部門(mén)開(kāi)展的關(guān)鍵信息基礎設施網(wǎng)絡(luò )安全檢查檢測工作，以及公安、國家安全、保密行政管理、密碼管理等有關(guān)部門(mén)依法開(kāi)展的關(guān)鍵信息基礎設施網(wǎng)絡(luò )安全檢查工作應當予以配合。

第二十九條　在關(guān)鍵信息基礎設施安全保護工作中，國家網(wǎng)信部門(mén)和國務(wù)院電信主管部門(mén)、國務(wù)院公安部門(mén)等應當根據保護工作部門(mén)的需要，及時(shí)提供技術(shù)支持和協(xié)助。

第三十條　網(wǎng)信部門(mén)、公安機關(guān)、保護工作部門(mén)等有關(guān)部門(mén)，網(wǎng)絡(luò )安全服務(wù)機構及其工作人員對于在關(guān)鍵信息基礎設施安全保護工作中獲取的信息，只能用于維護網(wǎng)絡(luò )安全，并嚴格按照有關(guān)法律、行政法規的要求確保信息安全，不得泄露、出售或者非法向他人提供。

第三十一條　未經(jīng)國家網(wǎng)信部門(mén)、國務(wù)院公安部門(mén)批準或者保護工作部門(mén)、運營(yíng)者授權，任何個(gè)人和組織不得對關(guān)鍵信息基礎設施實(shí)施漏洞探測、滲透性測試等可能影響或者危害關(guān)鍵信息基礎設施安全的活動(dòng)。對基礎電信網(wǎng)絡(luò )實(shí)施漏洞探測、滲透性測試等活動(dòng)，應當事先向國務(wù)院電信主管部門(mén)報告。

第三十二條　國家采取措施，優(yōu)先保障能源、電信等關(guān)鍵信息基礎設施安全運行。

能源、電信行業(yè)應當采取措施，為其他行業(yè)和領(lǐng)域的關(guān)鍵信息基礎設施安全運行提供重點(diǎn)保障。

第三十三條　公安機關(guān)、國家安全機關(guān)依據各自職責依法加強關(guān)鍵信息基礎設施安全保衛，防范打擊針對和利用關(guān)鍵信息基礎設施實(shí)施的違法犯罪活動(dòng)。

第三十四條　國家制定和完善關(guān)鍵信息基礎設施安全標準，指導、規范關(guān)鍵信息基礎設施安全保護工作。

第三十五條　國家采取措施，鼓勵網(wǎng)絡(luò )安全專(zhuān)門(mén)人才從事關(guān)鍵信息基礎設施安全保護工作；將運營(yíng)者安全管理人員、安全技術(shù)人員培訓納入國家繼續教育體系。

第三十六條　國家支持關(guān)鍵信息基礎設施安全防護技術(shù)創(chuàng )新和產(chǎn)業(yè)發(fā)展，組織力量實(shí)施關(guān)鍵信息基礎設施安全技術(shù)攻關(guān)。

第三十七條　國家加強網(wǎng)絡(luò )安全服務(wù)機構建設和管理，制定管理要求并加強監督指導，不斷提升服務(wù)機構能力水平，充分發(fā)揮其在關(guān)鍵信息基礎設施安全保護中的作用。

第三十八條　國家加強網(wǎng)絡(luò )安全軍民融合，軍地協(xié)同保護關(guān)鍵信息基礎設施安全。

第五章　法律責任

第三十九條　運營(yíng)者有下列情形之一的，由有關(guān)主管部門(mén)依據職責責令改正，給予警告；拒不改正或者導致危害網(wǎng)絡(luò )安全等后果的，處10萬(wàn)元以上100萬(wàn)元以下罰款，對直接負責的主管人員處1萬(wàn)元以上10萬(wàn)元以下罰款：

（一）在關(guān)鍵信息基礎設施發(fā)生較大變化，可能影響其認定結果時(shí)未及時(shí)將相關(guān)情況報告保護工作部門(mén)的；

（二）安全保護措施未與關(guān)鍵信息基礎設施同步規劃、同步建設、同步使用的；

（三）未建立健全網(wǎng)絡(luò )安全保護制度和責任制的；

（四）未設置專(zhuān)門(mén)安全管理機構的；

（五）未對專(zhuān)門(mén)安全管理機構負責人和關(guān)鍵崗位人員進(jìn)行安全背景審查的；

（六）開(kāi)展與網(wǎng)絡(luò )安全和信息化有關(guān)的決策沒(méi)有專(zhuān)門(mén)安全管理機構人員參與的；

（七）專(zhuān)門(mén)安全管理機構未履行本條例第十五條規定的職責的；

（八）未對關(guān)鍵信息基礎設施每年至少進(jìn)行一次網(wǎng)絡(luò )安全檢測和風(fēng)險評估，未對發(fā)現的安全問(wèn)題及時(shí)整改，或者未按照保護工作部門(mén)要求報送情況的；

（九）采購網(wǎng)絡(luò )產(chǎn)品和服務(wù)，未按照國家有關(guān)規定與網(wǎng)絡(luò )產(chǎn)品和服務(wù)提供者簽訂安全保密協(xié)議的；

（十）發(fā)生合并、分立、解散等情況，未及時(shí)報告保護工作部門(mén)，或者未按照保護工作部門(mén)的要求對關(guān)鍵信息基礎設施進(jìn)行處置的。

第四十條　運營(yíng)者在關(guān)鍵信息基礎設施發(fā)生重大網(wǎng)絡(luò )安全事件或者發(fā)現重大網(wǎng)絡(luò )安全威脅時(shí)，未按照有關(guān)規定向保護工作部門(mén)、公安機關(guān)報告的，由保護工作部門(mén)、公安機關(guān)依據職責責令改正，給予警告；拒不改正或者導致危害網(wǎng)絡(luò )安全等后果的，處10萬(wàn)元以上100萬(wàn)元以下罰款，對直接負責的主管人員處1萬(wàn)元以上10萬(wàn)元以下罰款。

第四十一條　運營(yíng)者采購可能影響國家安全的網(wǎng)絡(luò )產(chǎn)品和服務(wù)，未按照國家網(wǎng)絡(luò )安全規定進(jìn)行安全審查的，由國家網(wǎng)信部門(mén)等有關(guān)主管部門(mén)依據職責責令改正，處采購金額1倍以上10倍以下罰款，對直接負責的主管人員和其他直接責任人員處1萬(wàn)元以上10萬(wàn)元以下罰款。

第四十二條　運營(yíng)者對保護工作部門(mén)開(kāi)展的關(guān)鍵信息基礎設施網(wǎng)絡(luò )安全檢查檢測工作，以及公安、國家安全、保密行政管理、密碼管理等有關(guān)部門(mén)依法開(kāi)展的關(guān)鍵信息基礎設施網(wǎng)絡(luò )安全檢查工作不予配合的，由有關(guān)主管部門(mén)責令改正；拒不改正的，處5萬(wàn)元以上50萬(wàn)元以下罰款，對直接負責的主管人員和其他直接責任人員處1萬(wàn)元以上10萬(wàn)元以下罰款；情節嚴重的，依法追究相應法律責任。

第四十三條　實(shí)施非法侵入、干擾、破壞關(guān)鍵信息基礎設施，危害其安全的活動(dòng)尚不構成犯罪的，依照《中華人民共和國網(wǎng)絡(luò )安全法》有關(guān)規定，由公安機關(guān)沒(méi)收違法所得，處5日以下拘留，可以并處5萬(wàn)元以上50萬(wàn)元以下罰款；情節較重的，處5日以上15日以下拘留，可以并處10萬(wàn)元以上100萬(wàn)元以下罰款。

單位有前款行為的，由公安機關(guān)沒(méi)收違法所得，處10萬(wàn)元以上100萬(wàn)元以下罰款，并對直接負責的主管人員和其他直接責任人員依照前款規定處罰。

違反本條例第五條第二款和第三十一條規定，受到治安管理處罰的人員，5年內不得從事網(wǎng)絡(luò )安全管理和網(wǎng)絡(luò )運營(yíng)關(guān)鍵崗位的工作；受到刑事處罰的人員，終身不得從事網(wǎng)絡(luò )安全管理和網(wǎng)絡(luò )運營(yíng)關(guān)鍵崗位的工作。

第四十四條　網(wǎng)信部門(mén)、公安機關(guān)、保護工作部門(mén)和其他有關(guān)部門(mén)及其工作人員未履行關(guān)鍵信息基礎設施安全保護和監督管理職責或者玩忽職守、濫用職權、徇私舞弊的，依法對直接負責的主管人員和其他直接責任人員給予處分。

第四十五條　公安機關(guān)、保護工作部門(mén)和其他有關(guān)部門(mén)在開(kāi)展關(guān)鍵信息基礎設施網(wǎng)絡(luò )安全檢查工作中收取費用，或者要求被檢查單位購買(mǎi)指定品牌或者指定生產(chǎn)、銷(xiāo)售單位的產(chǎn)品和服務(wù)的，由其上級機關(guān)責令改正，退還收取的費用；情節嚴重的，依法對直接負責的主管人員和其他直接責任人員給予處分。

第四十六條　網(wǎng)信部門(mén)、公安機關(guān)、保護工作部門(mén)等有關(guān)部門(mén)、網(wǎng)絡(luò )安全服務(wù)機構及其工作人員將在關(guān)鍵信息基礎設施安全保護工作中獲取的信息用于其他用途，或者泄露、出售、非法向他人提供的，依法對直接負責的主管人員和其他直接責任人員給予處分。

第四十七條　關(guān)鍵信息基礎設施發(fā)生重大和特別重大網(wǎng)絡(luò )安全事件，經(jīng)調查確定為責任事故的，除應當查明運營(yíng)者責任并依法予以追究外，還應查明相關(guān)網(wǎng)絡(luò )安全服務(wù)機構及有關(guān)部門(mén)的責任，對有失職、瀆職及其他違法行為的，依法追究責任。

第四十八條　電子政務(wù)關(guān)鍵信息基礎設施的運營(yíng)者不履行本條例規定的網(wǎng)絡(luò )安全保護義務(wù)的，依照《中華人民共和國網(wǎng)絡(luò )安全法》有關(guān)規定予以處理。

第四十九條　違反本條例規定，給他人造成損害的，依法承擔民事責任。

違反本條例規定，構成違反治安管理行為的，依法給予治安管理處罰；構成犯罪的，依法追究刑事責任。

第六章　附　　則

第五十條　存儲、處理涉及國家秘密信息的關(guān)鍵信息基礎設施的安全保護，還應當遵守保密法律、行政法規的規定。

關(guān)鍵信息基礎設施中的密碼使用和管理，還應當遵守相關(guān)法律、行政法規的規定。

第五十一條　本條例自2021年9月1日起施行。